image

Column: Security Kieskompas

maandag 27 augustus 2012, 09:57 door Peter Rietveld, 12 reacties

Cyber security is hot. De media springen bovenop de gemiddelde virusuitbraak als ware het een kolossale natuurramp. Ministers komen terug van reces om toelichting te geven over een cyber security incident. De overheid heeft met en rond het NCSC een compleet verdedigingsstelsel ingericht op het digitale front. Uit de berichten in de pers zou je de indruk kunnen krijgen dat dat niet helpt, dus dat er iets niet goed gaat, en dat het anders moet of dat er veel meer van dit moet. Ondertussen gaan we over een paar weken stemmen. Digitale veiligheid: waaruit kunnen we kiezen? Een overzichtje van de grotere partijen.

VVD
De VVD stelt dat veiligheid de belangrijkste overheidstaak is. De VVD wil dat websites waar kinderporno wordt aangeboden verwijderd worden, maar legt helaas niet uit hoe dat dan zal gaan in de praktijk. Van de liberalen mag ACTA niet doorgaan en Spotify en iTunes juist wel. De VVD vindt bovendien dat cybercrime krachtig bestreden moet worden. Ook willen de liberalen betere mogelijkheden en instrumenten voor overheid en bedrijfsleven om besturingssystemen en bedrijfs- en persoonsgegevens van vitale objecten te kunnen beschermen. De VVD vindt privacy heel belangrijk maar acht inbreuken op de privacy wel toegestaan voor criminaliteitsbestrijding.

De VVD wil een kleinere overheid en minder regels. Maar zij trekt deze lijn niet door naar security en privacy: de partij steunt de voorstellen voor een meldplicht datalekken en voor verplichte assessments. Ook wil de VVD meer samenwerking van het bedrijfsleven met China. Zoals je wellicht weet moeten buitenlandse bedrijven die met Chinese bedrijven samenwerken, hun intellectueel eigendom delen. En in China zijn alle grote bedrijven van de overheid, dus dat draagt wel bij tot de digitale veiligheid. Want in dit geval hoeven de Chinezen onze netwerken niet te hacken.

SP
De SP stelt dat veiligheid altijd moet prevaleren. De socialisten hebben een afzonderlijke ICT paragraaf geschreven, maar verder dan het afwijzen van ACTA, een verplichte securitytest voor overheidswebsites en bescherming van de privacy van burgers op het internet komen ze niet.

PVV
Henk en Ingrid interesseren zich kennelijk niet zo voor internet. Het programma meldt wel dat er geen elektronisch patiëntendossier moet komen, waarmee ze naar ik aanneem het landelijke systeem bedoelen. Ook wil de partij geen spionagekastjes in de auto, dat gaat waarschijnlijk over de kilometerheffing. Dat was het. Opmerkelijk, zo weinig tekst, aangezien de partij van Wilders in de Kamer juist best veel te melden had over het digitale domein. Cybercrime bestrijding is bij de PVV duidelijk niet in goede handen, want deze partij wil de politie juist achter de computer vandaan halen om de straat op te gaan. Bovendien wil de PVV net als de SP de inhuur bij de overheid sterk verminderen. Security-specialisten zijn vaak extern. Als iedere organisatie zelf al de expertise in huis moet hebben die incidenteel nodig is, wordt het tekort aan specialisten nog veel groter dan het al is.

PvdA
De PvdA vindt privacy belangrijk. Geen Big Brother. De partij wil het CPB echte tanden geven. Daarnaast moet er een digitaal paspoort komen dat ‘echt veilig’ is en dat ook kinderen op internet beschermt. ‘Echt veilig’: van die term krijg ik het gevoel dat het programma op een typemachine geschreven is, zo digibeet klinkt het. Verder willen de sociaal-democraten een verbod op filtering op internet. Rond de andere thema’s blijft de PvdA stil.

CDA
Het CDA wil ‘Nederland nog veiliger maken’. Daarom wil ze gebruik maken van nieuwe technologische opsporingsmogelijkheden zoals meer cameratoezicht en samenwerken met andere landen. Daar moeten we het van de christendemocraten maar mee doen; concreter wordt het niet, maar dat lijkt voor het gehele programma te gelden.

D66
D66 heeft als enige een heuse cyber security paragraaf. Ze zijn tegen een sluipende invoering van Big Brother onder het mom van cyber security. Ook is de partij tegen ACTA. D66 wil voorkomen dat de strijd tegen piraterij op het web leidt tot inperking van de internetvrijheid. Er moet geen centrale opslag van vingerafdrukken voor paspoorten komen en ook moet de overheid geen koppelingen maken van de databases met persoonsgegevens. Hoe dat dan moet met de ICT van de overheid, gegeven de richting die met de NORA en de Basisregisters is ingeslagen, waarbij alles aan elkaar gekoppeld wordt, leggen de Democraten niet uit.

Daarnaast wil D66 bindende websecurity-richtlijnen voor de overheid. En: Nederland moet kunnen beschikken over voldoende competenties en capaciteit op het gebied van cybercrime. Hoe we dat gaan bereiken, legt de partij niet uit maar gezien de rest van het programma zal dat waarschijnlijk uit het reguliere onderwijs moeten komen. Ook wil D66 meer en slimmere ICT voor justitie en politie. Dat ‘slimmer’ zal overigens niet betekenen dat er veel digitaal gerechercheerd kan worden, want de partij wil de overheidsdatabases juist niet aan elkaar koppelen.

GroenLinks
GroenLinks heeft van de gevestigde partijen het meest uitgebreide progamma. Zij vindt privacybescherming van de burger tegen de overheid en multinationals heel belangrijk. Het auteursrecht moet aangepast worden, zodat het de auteurs, de muzikanten dus, dient en niet langer de mediaindustrie. De partij wil de bewaarplicht voor internet- en telefoonverkeer afschaffen en identiteitsfraude tegengaan. De groenlinksers zien het internet als middel tegen dictaturen en willen vervolgde bloggers ondersteunen. Ook is Groenlinks tegen een downloadverbod, tegen ACTA en vóór Open Source.

De Piratenpartij
De Piratenpartij is geen grote partij, maar heeft wel een zeer uitgebreid en uiterst concreet security-programma. Daarin spelen vrijheid van informatie en aanpassingen van auteursrecht de hoofdrol. Bovenal gaat de partij voor privacybescherming van burgers tegen een al te nieuwsgierige overheid en al te inhalige multinationals. Beveiliging van bijvoorbeeld bedrijven tegen industriële spionage, cyberwar of cybercrime komen niet in het programma voor. Daar hebben de piraten ongetwijfeld ook een mening over, maar die mogen wij, potentiële kiezers, niet weten.

Tot zo ver het overzicht. Dus, wat hebben we te kiezen? In grote lijnen: iedere partij is voor privacy ja duh, waarbij ‘links’ ook privacy tussen burger en de overheid wil waarborgen, en ‘rechts’ daar een uitzondering wil maken en geen moeite heeft met Big Brother. Over de andere onderwerpen spreken partijen zich nauwelijks uit. Cyberwar heeft de defensieparagrafen bijvoorbeeld niet gehaald, hoewel dit het enige defensieonderdeel is dat niet gekort is de afgelopen periode. Als je achter de Stichting Brein staat, of vóór ACTA bent, kom je er ook niet uit.

Voor de meeste security-onderwerpen is er bij politici blijkbaar een algemene consensus dat we moeten doen wat de specialisten willen. Eigen ideeën en visies zijn zeer schaars. Blijkbaar hoeven we niets te kiezen anders dan hoeveel geld we eraan besteden in het licht van de slinkende budgetten in een almaar krimpende overheid.

Maar is dat wel zo? Zou er niet veel méér te halen zijn bij de partijen, zodat we wel echt iets te kiezen hebben straks? Er zijn toch verdorie meer knoppen om aan te draaien dan hoeveel geld ergens aan besteed mag worden. Wat vinden de politieke partijen over cyberwapens, over muziek downloaden, over verdediging van de digitale veiligheid van Nederland en op welke manier we dat dan moeten doen? Dat zou ik wel eens willen weten, want met deze verkiezingsprogramma’s kun je bijna niets. Ik stel dan ook voor een Security Kieskompas te maken, hier op Security.nl. Wat we nodig hebben zijn serieuze stellingen en voorstellen, waar de partijen dan hun mening over kunnen geven. Want met de partijprogramma’s kunnen we nauwelijks iets. Die stellingen maken we zelf. Ik zal beginnen. Aanvullingen zijn welkom. Bij elke stelling vraag ik de partij om een van vijf hokjes aan te vinken, van ‘helemaal oneens’ tot ‘helemaal eens’. In het Security Kieskompas doe je dat dan zelf ook, zodat je op het einde ziet welke partij het beste bij je past. Hier gaan we.

    Cyber en internationale veiligheid defensie
  1. Nederland moet meer geld in offensieve cyberwapens voor Defensie steken en minder geld in ander wapentuig.
  2. Nederland moet de focus van Defensie meer op de bescherming van Nederland leggen dan op de bewaking van de internationale rechtsorde. Daarom moet de cyberdimensie budgettaire prioriteit krijgen over militaire inzet in het buitenland.
  3. Nederland moet haar digitale veiligheid zelfstandig kunnen verdedigen, dus ook buiten NAVO-verband en desnoods tegen landen en entiteiten in landen waar we in het fysieke domein bondgenoot mee zijn.
  4. Nederland moet haar digitale veiligheid samen met haar bondgenoten verdedigen, dus in NAVO-verband.
  5. Nederland moet haar digitale veiligheid samen met haar bondgenoten verdedigen, dus in EU WEU-verband.
  6. Cyberwar bestaat nog niet en de gedane investeringen zijn weggegooid geld.
  7. Nederland heeft een voortrekkersrol in het opbouwen van internationale samenwerking rond digitale weerbaarheid en dient deze binnen de EU te vervullen.
  8. Nederland heeft een voortrekkersrol in het opbouwen van internationale samenwerking rond digitale weerbaarheid en dient deze binnen de NAVO te vervullen.
  9. Nederland heeft een voortrekkersrol in het opbouwen van internationale samenwerking rond digitale weerbaarheid en dient deze binnen de VN te vervullen.
  10. Nederland dient een voortrekkersrol te vervullen in het opbouwen van internationale juridische kaders rond cybercrime en cyberwar.

    Cyber en nationale veiligheid justitie en veiligheid

  11. De politie mag terughacken.
  12. De overheid mag terughacken.
  13. Defensie mag terughacken.
  14. Volgens de minister van Veiligheid mag een bewoner die een inbreker aantreft in zijn woning, deze middels een paar ferme klappen verwijderen. Naar analogie hiervan mogen bedrijven en burgers die aangevallen worden op de computer, terughacken.
  15. Nu is cyber security verspreid over tal van departementen. Er moet een ministerie van ICT komen en daar hoort cyber security ondergebracht te worden, inclusief cyberwar.
  16. De omvang van cybercrime is in de praktijk gering, er zijn slechts enkele honderden zaken per jaar met een digitale dimensie. Criminaliteit in de echte wereld moet meer aandacht krijgen dan cybercrime.
  17. De samenwerkingsverbanden tussen bedrijven en overheid rond informatiebeveiliging zijn slechts praatclubs. Er moet een Digitale Burger Bescherming komen, waarin verdedigingen aan elkaar gekoppeld worden zodat er een aaneengesloten digitaal front gemaakt kan worden.
  18. De politie mag als regulier opsporingsmiddel spyware inzetten om verdachten te volgen, dus zonder toestemming van de rechter.
  19. Digitale veiligheid is een taak van het bedrijfsleven. De overheid hoeft alleen zichzelf te beveiligen.
  20. Digitale veiligheid is een taak van de overheid, dus inclusief de bescherming van Nederlandse bedrijven. Ook in het buitenland.
  21. De vitale digitale infrastructuur van de Nederlandse samenleving mag alleen in Nederland beheerd worden. Offshoring of uitbesteding aan buitenlandse partijen moet verboden worden vanwege de grote veiligheidsrisico’s.
  22. De schade als gevolg van de deconfiture van Diginotar aan de overheid is enorm. Hetzelfde geldt de schade door Dorifel, waarbij een aantal antivirusproducten gefaald hebben. De leveranciers moeten aansprakelijk gesteld kunnen worden voor de gevolgschade van falende beveiligingssoftware of beveiligingslekken in software.
  23. Nederland heeft een tekort aan specialisten in de beveiliging. Daarom worden steeds vaker specialisten uit landen als China en India ingezet. Dit levert een onacceptabel veiligheidsrisico op. Het onderwijs moet zorgen voor voldoende goed opgeleide specialisten. Daarom moet het reguliere onderwijs volwaardige BaMa trajecten aanbieden in de verschillende disciplines van cyber security security management, malware, applicatiebeveiliging, firewalling etc.
  24. Het topsectorenbeleid moet specialistisch onderwijs voor rond cyber security financieren in het reguliere onderwijs.
  25. De Meldplicht Datalekken moet uitgebreid worden zodat alle mogelijk getroffen natuurlijke en rechtspersonen direct en rechtstreeks op de hoogte gesteld worden van de opgetreden feiten. De gevolgschade dient vergoed te worden.
  26. De muziekindustrie is geen bedreigde kunstsector die uitzonderlijke ondersteuning van de staat nodig heeft. Het huidige door de staat geborgde monopolie moet dan ook afgebouwd worden. De thuisheffing moet afgeschaft worden en de duur van auteursrechten op muziek moet gelijkgetrokken worden met normale octrooien. Daarmee wordt de termijn van auteursrechten gelimiteerd op 6 tot maximaal 10 jaar.
  27. De stichting Brein doet voorkomen of het downloaden van muziek voor eigen gebruik verboden is. De wetgever stelt echter dat dit toegestaan is. Brein doet hiermee aan misleidende reclame.
  28. Alle bugers moeten een ‘internetrijbewijs’ halen waarmee ze hun beveiligingskennis bewijzen en moeten daarmee aanloggen om te internetten. Anders mogen ze niet het internet op.
  29. Anoniem internetten moet verboden worden; gebruikers krijgen een internetkenteken.
  30. Open Source software is veiliger en goedkoper. De overheid moet waar enigszins mogelijk volledig overschakelen op Open Source.

En nu jullie. Spui je stellingen hier onder.

Het is natuurlijk wel kort dag tot de verkiezingen. Ik zou de stellingen woensdag aanstaande al naar de partijen willen sturen. Hun antwoorden vind je hier op Security.nl.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns


Meer columns van Peter Rietveld.
Reacties (12)
27-08-2012, 10:25 door Nimrod
Misschien de volgende stellingen:

1. Cybercrime is criminaliteit van het zelfde niveau als drugshandel, maffia en mensenhandel.
2. Het vak informatica(met security courses) moet verplicht gegeven worden op middelbare scholen.
3. Er moeten speciale cyberrechters komen die kennis van zaken hebben.
4. Overheidssystemen moeten bij wet periodiek getest worden op security.
5. Het controleren en straffen van onvoldoende beveiliging van (gevoelige) persoongegevens moet vaker en zwaarder bestraft worden.
27-08-2012, 10:49 door no-mind
Het is jammer dat je met de toon van het artikel een duidelijker voorkeur weggeeft voor welke partij volgens jou het beste is. Erg gekleurd taalgebruik :-(

Verder zou het je sieren als je ook kijkt naar hoe partijen in het verleden zijn omgegaan met deze zaken en dan krijg je toch een ander beeld dan wat je hier probeert te schetsen!

VVD, CDA en SGP hebben in het verleden al bewezen niet veel op te hebben met privacy, juist daarvoor moet je eerder bij de linkse partijen zijn!
27-08-2012, 10:59 door Anoniem
@no-mind: wat partijen doen en wat er in het programma staat is nogal een verschil inderdaad; een overzicht van de beloftes op security gebied versus het daadwerkelijk gedane zou ook erg leuk zijn. Maar deze column vergelijkt alleen de beloftes en signaleert dat de meeste partijen weinig beloven.
27-08-2012, 11:02 door JeanGuillaume
1. Rechten op muziek behoren toe aan de optredende musici en de componisten; niet aan de muziekindustrie. Rechten op muziek kunnen niet worden doorverkocht aan anderen.
2. Er mag geen downloadverbod komen, zolang de verdiensten op CD's etc alleen terecht komen bij de muziek/filmindustrie of bij auteursrechtorganisaties (in feite vergelijkbaar met patenttrollen)
3. Software patenten mogen niet gebruikt worden om concurrenten de markt uit te duwen (vgl. Apple vs Samsung).
27-08-2012, 13:28 door Anoniem
@Nimrod:

1. Cybercrime is niet per definitie hetzelfde als georganiseerde misdaad: een kwaadwillend scriptkiddie die wat poortscans en een mini-DOS doet op 15 jarige leeftijd, moet een pak billenkoek krijgen en een flinke boete krijgen; niet 4 jaar cel.
2. Veel scholieren hebben geen beta-knobbel, als wiskunde al 'amper' verplicht is, kun je niet verwachten dat van ICT wel te doen. Vind het verder wel een goed idee voor b.v. relevante vervolg-studies.
3. Rechters = verstand van recht; IT experts = adviseurs van rechtbank, maar schoenmaker houd je bij de leest.

De rest ben ik met je eens ;)
27-08-2012, 14:25 door Anoniem
"1. Cybercrime is criminaliteit van het zelfde niveau als drugshandel, maffia en mensenhandel."

M.i. een onzin stelling. De term cybercrime zegt enkel wat over de wijze waarop een delict gepleegd wordt, en niets over de zwaarte van het delict. Het is net zoiets als zeggen dat alle offline delicten van hetzelfde niveau zijn als drugshandel, maffia en mensenhandel.

Een scholier die bijvoorbeeld de computer van zijn klasgenoot 'voor de grap' kraakt zonder verder enige vorm van schade aan te richten maakt zich schuldig aan cybercrime, een crimineel die de bankrekeningen van tienduizenden onschuldige burgers plundert m.b.v. malware eveneens.

"Het is jammer dat je met de toon van het artikel een duidelijker voorkeur weggeeft voor welke partij volgens jou het beste is. Erg gekleurd taalgebruik :-("

Oja, welke voorkeur blijkt dan volgens jou uit dit artikel ?

"Verder zou het je sieren als je ook kijkt naar hoe partijen in het verleden zijn omgegaan met deze zaken en dan krijg je toch een ander beeld dan wat je hier probeert te schetsen!"

Het artikel gaat in op de verkiezingsprogramma's. Er is natuurlijk een enorm verschil tussen wat partijen beloven, en wat ze doen, goed punt.
27-08-2012, 16:45 door Nimrod
@De twee anoniempjes

Leuk dat jullie reageren op de stellingen :) Jullie mening wordt zeker op prijs gesteld en ze zullen zeker voor de nodige discussie zorgen. Vandaar dat ik deze stellingen ook zo heb gepresenteerd. Ik zou graag willen weten wat de politieke partijen over de stellingen te zeggen hebben.. Mogelijk komt hun mening totaal niet overeen met jouw visie/mening, dan weet je in ieder geval dat je niet op de partij moet stemmen ;-)

Wat betreft de discussie:
Cybercrime is niet per definitie hetzelfde als georganiseerde misdaad: een kwaadwillend scriptkiddie die wat poortscans en een mini-DOS doet op 15 jarige leeftijd, moet een pak billenkoek krijgen en een flinke boete krijgen; niet 4 jaar cel.
Nee oke, drugshandel is ook niet per definitie georganiseerde misdaad. Een kind van 15 kan ook een joint verkopen aan zijn klasgenootjes. Dit is ook per wet verboden en valt dus onder drugshandel. Jouw vergelijking is dus geen argument dat cybercrime van een ander niveau is dan drugshandel.

M.i. een onzin stelling. De term cybercrime zegt enkel wat over de wijze waarop een delict gepleegd wordt, en niets over de zwaarte van het delict. Het is net zoiets als zeggen dat alle offline delicten van hetzelfde niveau zijn als drugshandel, maffia en mensenhandel.
Ja wat dat betreft is cybercrime ook een te globale term. Wat ik bedoelde te zeggen is het volgende. Moet de politie/overheid net zoveel aandacht besteden aan cybercrime als aan offline delicten?

Cybercrime volgens wiki: http://en.wikipedia.org/wiki/Computer_crime
Cybercrimes are defined as: "Offences that are committed against individuals or groups of individuals with a criminal motive to intentionally harm the reputation of the victim or cause physical or mental harm to the victim directly or indirectly, using modern telecommunication networks such as Internet (Chat rooms, emails, notice boards and groups) and mobile phones (SMS/MMS)".
27-08-2012, 22:01 door 0101
Na de zin "Een overzichtje van de grotere partijen" ben ik gestopt met lezen. De grotere partijen? Die hebben al jaren afwisselend de macht, en wat doen ze ermee? Voor kiezersgerichte politiek moet je juist bij de kleinere, idealistische / religieuze partijen zijn, omdat die niet zo afhankelijk zijn van stunts om kiezers te trekken vanwege hun trouwe achterban. En nog een ding: het is niet eerlijk om de Piratenpartij voor te trekken. Als je een partij noemt die 0 zetels heeft, dan moet je alle andere partijen ook noemen.

Het zijn er overigens 21 in totaal, te weten VVD, PvdA, PVV, CDA, SP, D66, GroenLinks, ChristenUnie, Partij voor de Dieren, SGP, 50PLUS, Anti Europa Partij, Democratisch Politiek Keerpunt DPK, Liberaal Democratische Partij (LibDem), Libertarische Partij (LP), Nederland Lokaal, Partij van de Toekomst (PvdT), Partij voor Mens en Spirit (MenS), Piratenpartij, Politieke Partij NXD en SOPN.
28-08-2012, 12:04 door johanw
Wat in elk geval duidelijk is dat de VVD het downloaden van muziek en films - wat nu nog toegestaan is - wil verbieden. Teeven maakt zich daar nu al sterk voor en die staat weer hoog (op 5) op de VVD lijst. En dan is het natuurlijk nog maar een kwestie van tijd voordat Brein een paar voorbeelden wil stellen naar Amerikaans model.
29-08-2012, 07:44 door Anoniem
Pieter,
een mogelijke aanvulling op je artikel betreffende D66 is dat deze partij voorkeur heeft om Dos aanvallen te legaliseren.
: http://www.security.nl/artikel/41978/1/D66_wil_DDoS-aanvallen_legaliseren.html
31-08-2012, 12:12 door Anoniem
Helaas krijgt de discussie over het onderwerp "veiligheid" te veel orthodoxe trekjes. En het lijkt wel alsof alles en iedereen moet wijken voor absolute veiligheid. En dat is natuurlijk onzin want dat zou betekenen dat iedereen zijn eigen cel in zijn eigen gevangenis krijgt. En dan ontstaat inderdaad "big brother is watching you". De overheid is al jaren bezig om iedereen een gevoel van onveiligheid aan te praten om vervolgens alle privacy van dezelfde burgers op alle mogelijke manieren te schenden. Veiligheid gaat steeds meer over business genereren dan over echte veiligheid bieden.

Iedereen begeeft zich in alle vrijheid in allerlei fysieke en virtuele omgevingen en is in de eerste plaats verantwoordlijk voor zijn eigen veiligheid. De eigenaar van de betreffende omgeving moet zorgen voor zorgen voor normale veiligheid bij normaal gedrag. Dat is een gedeelde verantwoordlijkheid. In een fysieke omgeving zijn we gewend om met elkaar gedragsregels afbte spreken die in het algemeen goed worden nageleefd. Overtredingen worden gecorrigeerd en waar nodig gesanctioneerd. Door bijvoorbeeld de ongebreidelde groei van camera's wordt helaas vaak het tegenovergestelde effect bereikt met een waterbedeffect zonder de onderliggende problemen aan te pakken.

In de virtuele wereld van Internet ontwikkelt zich op een organische wijze een normale wereld van omgaan met elkaar. Helaas zijn er nog steeds volop onveilige plekken en criminele activiteiten die daadkrachtig moeten worden aangepakt. En zeker moet de overheid zorgen dat haar aanwezigheid en activiteiten veilig zijn. Maar laten we voorkomen dat de overheid elke persoon en elke activiteit op Internet als crimineel gaat beschouwen.

Reacties zeer welkom.

Ton Schijvenaars
Lijsttrekker Nederland Lokaal
0653191392
schijvenaars@home.nl
03-09-2012, 11:41 door Anoniem
Patenttrollen moeten aangepakt worden. Er moet een wet komen die patenten alleen valide maakt als een bedrijf daadwerkelijk dit patent gebruikt om een product mee te maken. Dit levert een enorme boost voor innovatie en voorkomt het geldverslindende parasitaire gedrag van trollen en in het verlengde de uitgaven aan advocaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.